Počítačové viry známé a neznámé

Archiv | 01.03.06

4. díl Backdoor: brána počítače otevřená do širého světa Dalším druhem kybernetické havěti, s nímž se v...







4. díl Backdoor: brána počítače otevřená do širého světa


Dalším druhem kybernetické havěti, s nímž se v tomto miniseriálu seznámíme, je "backdoor", neboli česky "zadní vrátka". Tento škodlivý kód může ublížit našemu počítači (a potažmo i nám jeho uživatelům) hlavně svojí zákeřností a nevyzpytatelností. Nikdy totiž nemůžeme vědět, kdo existující zadní vrátka zneužije a co jejich prostřednictvím na infikovaném počítači napáchá...

Backdoor: co to je?

Pod pojmem backdoor rozumíme v oblasti počítačových virů škodlivý kód, který do infikovaného počítače otevírá nežádoucí komunikační kanál, obcházející aktuální způsoby autentizace uživatele. Typickým backdoorem je tedy nežádoucí aplikace, kterou někdo dopraví a nainstaluje do počítače, aby se do něj mohl následně dostat a z dálky ho zneužívat k různým činnostem. Za backdoor ale můžeme v praxi považovat jakýkoliv speciální uživatelský účet, který je v systému implementován bez vědomí uživatele a může být zneužit pro jeho "nabourání". V tomto případě jde především o bezpečnost samotného programového kódu, ve kterém se něco podobného může úmyslně nebo neúmyslně vyskytovat.

Historie backdoorů

Jednu z prvních zmínek o backdoorech můžeme najít ve filmu WarGames, natočeném v roce 1983. V tomto filmu se zadní vrátka v počítačovém systému WORP pro řízení nukleárního arzenálu USA málem stanou příčinou spuštění atomové apokalypsy (programátor ponechá v systému jméno svého syna jako heslo, zpřístupňující skrytou funkci spočívající v simulaci atomového útoku, která je shodou okolností spuštěna...).
Říci, kdy se v počítačovém světě objevily první backdoory, je v postatě nemožné. Zjednodušeně řečeno jsou backdoory staré jako samotné operační systémy a aplikace. První praktické pokusy s backdoory můžeme zaznamenat už u prvních unixových systémů (např. v kompileru unix c). Backdoory se jako součást škodlivých kódů začaly objevovat také velice záhy. V poslední době snad už nenajdeme jediného červa, který by alespoň nějaká malá zadní vrátka do infikovaného počítače neinstaloval.

Backdoory: jak na to jdou?

Backdoor je především nástrojem pro vzdálený přístup hackera do infikovaného systému. Obvykle je reprezentován jediným souborem, který, pokud je spuštěn, nakopíruje svoje součásti na disk počítače, kde následně skrytě naslouchá datovému provozu na určitých síťových portech a čeká na příkazy zvenčí. Typický backdoor se skládá ze dvou hlavních částí klientské a serverové. Některé exempláře dokonce obsahují nástroje, jež hackerovi umožňují serverovou část konfigurovat přesně podle svých individuálních potřeb. Z praxe jsou známé i případy, kdy jsou k dispozici speciální skenery, které dokáží nalézt na síti jednotlivé počítače infikované konkrétním backdoorem (resp. jejich instalované serverové části).
K tomu, aby hackeři serverovou část backdooru dopravili a nainstalovali na cílový počítač, se používají různé triky, vycházející většinou z metod sociálního inženýrství. Backdoory mohou být "zabaleny" do podoby trojských koní, doručeny e-mailem jako přiložené soubory s atraktivním jménem a příslušným doprovodným textem, nebo jednoduše přidávány jako další komponenta k e-mailovým a síťovým červům.
Pokud je dnešní typický backdoor spuštěn, nakopíruje se obvykle přímo do adresáře Windows nebo Windows System a vytvoří si příslušný záznam v registru systému, který mu zajišťuje spuštění současně s nabíháním Windows. Backdoory za tímto účelem často modifikují další systémové soubory (jako WIN.INI nebo SYSTEM.INI) nebo kopírují svoje soubory přímo do adresáře "Startup" (Po spuštění). Součástí instalace backdooru může být i zobrazování maskovacího falešného chybového hlášení, jak jsme zvyklí třeba u e-mailových červů. V současnosti není výjimkou, že jakmile se backdoor v systému usadí, snaží se ohlásit svému "pánovi". Většinou k tomu využívají běžné komunikační prostředky jako je e-mail, ICQ nebo MSN. Hlásí především IP adresu, případně některé další zajímavé informace jako konfigurace počítače, instalované aplikace apod. Po provedení těchto obvyklých úkonů již backdoor přechází do stavu vyčkávání. Obvykle otevírá zvolený síťový port, kde naslouchá příchozím instrukcím, zasílaným příslušným klientem.
Klient představuje druhou část backdooru, instalovanou na počítači hackera. Pomocí grafického či jiného rozhraní mohou být jeho prostřednictvím zasílány příkazy serverové části backdooru na infikované stanici. Moderní sofistikované backdoory umožňují získat naprostou kontrolu nad infikovanou stanicí. Útočník tak na infikovanou stanici může jednoduše stahovat a spouštět soubory, prohlížet si obsah lokálních a připojených síťových disků, získávat informace o konfiguraci systému nebo provádět jiné skopičiny, jako třeba pořizování screenshotů vzdálené obrazovky. Zaznamenali jsme již dokonce i případy, kdy bylo možné prostřednictvím backdooru zneužívat k infikovanému počítači připojené webové kamery či mikrofony a tímto způsobem šmírovat soukromí jeho uživatele. I ty nejjednodušší backdoory ale zpravidla umožňují nahrát a spustit na infikované stanici libovolný soubor, což může mít v praxi naprosto nepředvídatelné následky.
Speciální skupinu backdoorů tvoří tzv. IRC backdoory. Od výše popisovaných se odlišují zejména tím, že jsou řízeny prostřednictvím speciálních kanálů IRC. Tyto kanály jsou zpravidla vyhrazené a mohou se k nim připojovat pouze ti, kdo znají příslušná přístupová hesla tzn. tvůrci konkrétních backdoorů a hackeři.
Způsob, jak se IRC backdoory dostávají a instalují do infikovaného systému, jsou podobné jako u "obyčejných" backdoorů. Některé IRC backdoory mohou navíc ještě nahrazovat INI skripty klienta IRC na infikovaném počítači (nejčastěji klienta mIRC).
Vždy, když je IRC backdoor spuštěn, ustaví sám spojení na definovaný IRC server nebo čeká, až se k IRC připojí uživatel (skriptové backdoory). Následně se backdoor přihlašuje do určeného kanálu IRC. Vzdálený útočník poté může backdoor na infikované stanici prostřednictvím IRC používat a dávat mu příkazy.
Většina současných IRC backdoorů umožňuje získat nad infikovaným počítačem pouze částečnou nadvládu a provádět pouze činnosti jako modifikace, stažení a spuštění souboru. Některé exempláře mohou být vybaveny dalšími funkcemi, potřebnými k převzetí kontroly nad příslušným IRC kanálem a jeho dalšímu zneužití.

Jeden příklad za všechny

Klasickým příkladem backdooru může být třeba známý škodlivý kód SubSeven. Jeho výskyt byl poprvé zaznamenán v květnu 1999, kdy byl na internetu šířen především prostřednictvím různých diskusních skupin a e-mailem.
Způsob, jak SubSeven infikuje cílový systém, odpovídá výše uvedenému. V závislosti na konkrétní variantě kopíruje pod určitým jménem do systému svůj soubor a modifikuje registr systému, nebo se navazuje na jeho spouštění prostřednictvím jiných metod.
Všechny dosud známé verze SubSeven jsou vybaveny konfigurační utilitou, jejímž prostřednictvím může být instalační balíček backdooru konfigurován (volba metody instalace do systému, text falešného chybového hlášení atd.). Navíc může k avizování své existence využívat ICQ, IRC, případně e-mail.
Pokud je SubSeven aktivní, může být vzdáleným útočníkem využíván k řadě rozličných činností (původní verze obsahuje celkem 113 příkazů). V méně závažných případech se tak může stát prostředkem k "šikanování" kolegy, kterému můžete na dálku vysunovat dvířka mechaniky CD-ROM, spouštět webový prohlížeč a zobrazovat v něm určité stránky, hýbat mu pod rukama kurzorem myši, měnit systémové datum a čas, nečekaně přehrávat děsivé zvuky, tisknout dokumenty na jeho tiskárně, zobrazovat překvapující obrázky atd. V horším případě pak může být SubSeven zneužit k logování stisknutých kláves, nahrání a spouštění libovolných dalších souborů, zachytávání screenshotů, zřizování FTP serverů, modifikování systémových souborů a celé řadě dalších vysloveně škodlivých činností.
Dalšími příklady "klasických" backdoorů mohou být různé varianty Back Orifice, NetBus, Deep Throat, Bionet, Masters Paradise atd. Mezi v současné době nejznámější zástupce IRC backdoorů patří SdBot, Roron nebo třeba Nymph.

Vývoj nezastavíme

Od backdooru je už jen malý krůček ke škodlivým kódům, které jsou v odborné terminologii označovány jako "bot". Pole působnosti backdoorů a botů se na současné virové scéně poněkud prolínají. Bot je v podstatě backdoor, disponující některými pokročilými dovednostmi, jako je např. schopnost vytvářet mezi infikovaným počítačem a útočníkem šifrovaný kanál nebo vytvářet z infikovaných počítačů distribuované sítě. Počítače, které jsou infikovány botem, jsou zcela pod kontrolou vzdáleného útočníka. V praxi pro ně používáme označení "zombie". Infrastruktura těchto počítačů je často zneužívána pro šíření spamu, případně jiného nelegálního obsahu. Někteří pisatelé virů se získávání zombies věnují na profesionální úrovni. Získanou počítačovou infrastrukturu potom pronajímají za peníze spamerům a různým obchodníkům s ne právě legálním elektronickým obsahem.

Škodlivý kód s budoucností

Jak je tedy vidět, backdoory a jejich jednotlivé odnože představují významnou část dnešního "virového průmyslu". Mezi škodlivými kódy jsou poměrně hojně zastoupeni. Přesto ale zůstávají poněkud v ústraní. O to více nás ale mohou nemile překvapit v situaci, když se s nimi setkáme tváří v tvář. A skutečnost, že podobné setkání pro nás nemusí dopadnout nikterak dobře, jistě netřeba zdůrazňovat.
Skutečnost, že backdoory se využívají k útokům stále častěji, dává tušit, že i v budoucnu se s těmito škodlivými kódy budeme setkávat a hned tak se jich nezbavíme...
Tento seriál vzniká ve spolupráci s firmou AEC Data Security Company.6 0110/OK o
ICQ označení pro protokol, využívaný pro přenos krátkých textových zpráv po internetu, nebo také přímo název známého komunikačního programu, který se v současnosti hojně používá.
IRC zkratka pro Internet Relay Chat označení protokolu nebo také chatovací sítě, kde spolu mohou jednotliví účastníci komunikovat po internetu v reálném čase.
Hacker v původním smyslu označení počítačového specialisty s nadprůměrnými znalostmi konkrétního systému. Nyní se používá spíše jako označení počítačového zločince a notorického narušitele počítačových sítí.
Klient označení systému, který využívá služby poskytované vzdáleným počítačem nebo sítí (např. internetový prohlížeč, používaný k prohlížení www stránek).
Kompiler (angl. compiler) počítačový program, který převádí kód napsaný v jednom počítačovém jazyku do jiného. Většinou se jedná o překlad kódu vytvořeného člověkem ve vyšším programovacím jazyku do příslušného strojového kódu (assembleru) počítače a vytvoření spustitelného souboru (EXE, COM).
Server označení procesu nebo systému, který poskytuje nějakou službu. Ta je většinou realizována prostřednictvím síťového aplikačního protokolu (např. webový server poskytující službu www).
Síťový port v podstatě brána využívaná pro komunikaci určitého programu v počítači s jiným vzdáleným systémem. Port může vysílat a přijímat data. Je určen číslem, přičemž některé porty jsou vyhrazeny pro určitý druh komunikace.













Komentáře

K tomuto článku není připojena žádná diskuze, nebo byla zakázána.